Cookie walls : la CNIL publie des premiers critères d’évaluation

16 mai 2022

Depuis plusieurs mois, certains sites web et applications mobiles utilisent des « murs de traceurs » (« cookie walls » en anglais). Régulièrement interrogée sur le sujet et saisie de nombreuses plaintes, la CNIL publie des premiers critères permettant d’évaluer la légalité d’une telle pratique.

La plupart des services proposés sur Internet sont présentés comme gratuits. Toutefois, cette gratuité pécuniaire n’est pas sans contrepartie : les données personnelles des internautes collectées sont très souvent utilisées par les acteurs du web pour financer les services qu’ils proposent en recourant, notamment, à la publicité ciblée.

Ainsi, le dépôt de cookies et autres traceurs permet, par exemple, de collecter des informations sur un internaute telles que son âge, son lieu de résidence ou encore ses centres d’intérêt et ses habitudes de consommation, pour ensuite lui proposer des publicités qui ont de fortes chances de l’intéresser et donc de générer un achat.

Face aux exigences européennes liées au recueil du consentement préalable de l’internaute au dépôt de ces traceurs, de nombreux sites ont choisi de recourir à un cookie wall.

Qu’est-ce qu’un cookie wall ?

L’expression « mur de traceur », ou « cookie wall » en anglais, désigne le fait de conditionner l’accès à un service à l’acceptation, par l’internaute, du dépôt de certains traceurs sur son terminal (ordinateur, smartphone, etc.).

Certains sites ont recours, en cas de refus des traceurs par les internautes, à la mise en place d’un choix alternatif consistant pour ces derniers à devoir fournir une autre contrepartie. Les éditeurs de ces sites cherchent par ce biais à compenser la perte de revenus publicitaires résultant de l’absence de traceurs par un autre mode de rémunération.

Dans la majeure partie des cas, la contrepartie est financière, on parle alors de « paywall » : l’internaute qui refuse d’accepter les cookies est obligé de fournir une somme d’argent pour accéder au site.

La décision du Conseil d’État sur les cookie walls

Par une décision du 19 juin 2020, le Conseil d’État a jugé que l’exigence d’un consentement libre ne pouvait pas justifier une interdiction générale de la pratique des « murs de traceurs », la liberté du consentement des personnes devant être appréciée au cas par cas, en tenant compte notamment de l’existence d’alternative réelle et satisfaisante proposée en cas de refus des cookies.

La CNIL et le CEPD ont appelé, à plusieurs reprises, le législateur européen à fixer des règles plus précises en la matière dans le futur règlement européen ePrivacy, en cours d’élaboration.

Légalité des cookie walls : les critères d’évaluation

Comme rappelé dans les lignes directrices « cookies et autres traceurs », le fait de conditionner la fourniture d’un service ou l’accès à un site web à l’acceptation du dépôt de certains traceurs est susceptible de porter atteinte, dans certains cas, à la liberté du consentement. Si l’exigence d’un consentement « libre » n’entraîne pas une interdiction générale de la pratique des cookie walls, leur légalité doit être appréciée en tenant notamment compte de l’existence d’alternative(s) réelle(s) et satisfaisante(s) proposée(s) en cas de refus des traceurs.

Dans l’attente d’une législation ou d’un positionnement de la Cour de justice de l’Union européenne, la CNIL a estimé nécessaire de publier des critères permettant d’évaluer la légalité de telles pratiques. 

Ces critères se concentrent sur les pratiques les plus couramment constatées : ils doivent être utilisés dans le cadre d’une analyse au cas par cas.

À retenir

L’ensemble des principes du RGPD restent applicables aux traitements de données liés à l’usage de cookie walls.

Une attention particulière doit notamment être portée à l’information des personnes ainsi qu’à la question des transferts de données en dehors de l’Union européenne qu’impliquerait l’usage de certaines solutions.

 

L’internaute refusant les traceurs dispose-t-il d’une alternative équitable pour accéder au contenu ?

Lorsqu’un internaute refuse l’utilisation de traceurs sur un site web (par exemple en cliquant sur un bouton « tout refuser »), la CNIL recommande aux éditeurs de proposer une alternative réelle et équitable permettant d’accéder au site et qui n’implique pas de devoir consentir à l’utilisation de leurs données.

À défaut, l’éditeur devra être en mesure de démontrer, notamment à la CNIL, qu’un autre éditeur propose une telle alternative sans conditionner l’accès à son service au consentement de l’utilisateur au dépôt de traceurs, c’est-à-dire sans cookie wall.

Dans ce dernier cas, l’éditeur du site imposant de consentir aux traceurs pour y accéder devra être particulièrement vigilant à l’existence d’un éventuel déséquilibre entre lui et l’internaute, qui serait de nature à priver ce dernier d’un véritable choix. Il devra ainsi veiller à la facilité d’accès pour l’utilisateur à cette alternative. Un tel déséquilibre pourrait exister, par exemple :

  • en cas d’exclusivité de l’éditeur sur les contenus ou services proposés : cela peut concerner, par exemple, des services administratifs qui ne peuvent pas conditionner l’accès à une téléprocédure ou à un site d’information à l’acceptation de traceurs soumis au consentement. Le choix de l’internaute dans un tel cas serait, par définition, contraint puisque le service en question n’est disponible que sur le site fourni par l’administration ;
  • lorsque l'internaute n'a que peu ou pas d'alternatives au service et n'a donc pas de véritable choix quant à l'utilisation des cookies, par exemple dans le cas de fournisseurs de services dominants ou incontournables.

Alternative payante : le tarif est-il raisonnable ?

Le fait, pour un éditeur, de conditionner l’accès à son contenu, soit à l’acceptation de traceurs contribuant à rémunérer son service, soit au paiement d’une somme d’argent, n’est pas interdit par principe puisque cela constitue une alternative au consentement aux traceurs. Cette contrepartie monétaire ne doit toutefois pas être de nature à priver les internautes d’un véritable choix : on peut ainsi parler de tarif raisonnable.

La détermination du tarif raisonnable dépend d’une analyse au cas par cas

Il n’appartient pas à la CNIL de fixer un seuil en dessous duquel un tarif peut être considéré comme raisonnable, qui relève d’une analyse au cas par cas. L’éditeur qui souhaite mettre en œuvre un paywall devra être en mesure de justifier du caractère raisonnable de la contrepartie monétaire proposée. Pour plus de transparence à l’égard des internautes, la CNIL encourage les éditeurs à publier leur analyse.

Les porte-monnaie virtuels peuvent permettre de s’adapter aux modes de consommation

La CNIL invite les éditeurs à tenir compte, dans l’évaluation du montant raisonnable, des modes de consommation du service proposé.

En effet, le mode de financement n’a pas systématiquement à prendre la forme d’un abonnement payant au site pour y accéder sans traceurs. Par exemple, l’éditeur pourra choisir de recourir à des porte-monnaie virtuels permettant de réaliser des micropaiements pour accéder de façon ponctuelle à un contenu ou service en particulier de façon fluide et sans qu’il soit nécessaire pour l’internaute d’enregistrer ses données de carte bancaire auprès de l’éditeur.

La création d’un compte doit poursuivre des objectifs déterminés et transparents pour l’internaute

Certains éditeurs imposent aux internautes la création d’un compte utilisateur. Les éditeurs devront s’assurer qu’une telle obligation est justifiée par rapport à la finalité (objectif) visée : ce sera le cas, par exemple, lorsqu’il s’agit de permettre à un utilisateur qui a choisi de souscrire à un abonnement (mensuel ou annuel), de bénéficier de cet abonnement sur d’autres terminaux.

En outre, l’éditeur devra respecter certains principes, notamment :

  • informer les internautes de l’usage de leurs données ;
  • limiter la collecte aux seules données nécessaires aux objectifs poursuivis ;
  • si l’éditeur souhaite réutiliser les données collectées lors de la création du compte pour d’autres finalités, il devra notamment s’assurer d’en avoir préalablement et clairement informé l’internaute et recueillir, si nécessaire, le consentement des internautes pour ces nouveaux objectifs.

Un « cookie wall » ou un « pay wall » peut-il systématiquement imposer d’accepter l’intégralité des traceurs du site web ?

Pour rappel, en général, l’absence de possibilité d’accepter ou de refuser des traceurs selon leur objectif, finalité par finalité peut affecter la liberté de choix de l’utilisateur et donc la validité de son consentement.

S’il n’est pas interdit de conditionner l’accès au site au consentement à une ou plusieurs finalités des traceurs, l’éditeur devra démontrer que son cookie wall est limité aux finalités qui permettent une juste rémunération du service proposé. Par exemple, si un éditeur considère que la rémunération de son service dépend des revenus qu’il pourrait obtenir de la publicité ciblée, seul le consentement à cette finalité devrait être nécessaire pour accéder au service : le refus de consentir à d’autres finalités (personnalisation du contenu éditorial, etc.) ne devrait alors pas empêcher l’accès au contenu du site.

L’éditeur doit informer les internautes, de manière claire, des finalités pour lesquelles il est nécessaire - ou non - de consentir pour accéder au service.

À noter : la publicité ciblée et la personnalisation du contenu éditorial sont deux finalités différentes qu’il est nécessaire de distinguer au moment de déterminer les finalités conditionnant l’accès au service.

L’utilisateur choisit l’accès payant sans consentir aux cookies : dans quels cas (limités) des traceurs peuvent-il tout de même être déposés ?

En principe, aucun traceur nécessitant le consentement de l’internaute ne devrait être déposé lorsque celui-ci refuse le dépôt de traceurs et choisi l’alternative proposée par l’éditeur. Seuls des traceurs nécessaires au fonctionnement du site web pourront être utilisés.

L’éditeur pourra toutefois demander, au cas par cas, le consentement de l’internaute au dépôt de traceurs lorsque ces derniers sont imposés pour accéder à un contenu hébergé sur un site tiers (par exemple, pour visionner une vidéo hébergée par un site tiers) qui requiert l’utilisation d’un cookie non strictement nécessaire, ou à un service demandé par l’utilisateur (par exemple, pour donner accès aux boutons de partage sur des réseaux sociaux).

En effet, certains éditeurs intègrent des contenus multimédias externes (par exemple, des vidéos hébergées par des fournisseurs tiers) ou des boutons de partage de réseaux sociaux dont l’accès ou l’activation (par exemple, la lecture de la vidéo) entraîne le dépôt et la lecture de traceurs, notamment publicitaires, par les fournisseurs de ces contenus (par exemple la plateforme qui héberge la vidéo). Sur ce point, voir la question réponse n° 23 de la FAQ « cookies et autres traceurs ».

Le consentement de l’utilisateur pourrait être recueilli, par exemple, au sein d’une fenêtre dédiée affichée lorsque l’internaute souhaite activer le contenu et dans laquelle il devra disposer d’une information claire concernant :

  • le fait que l’activation du contenu externe, ou l’utilisation des boutons de partage, requiert de consentir au dépôt de traceurs en précisant la ou les finalité(s) des traceurs utilisés ainsi qu’un lien vers la politique de confidentialité, en français, du fournisseur du contenu externe ;
  • la possibilité de retirer, aisément et à tout moment, son consentement ;
  • les conséquences du refus ou retrait du consentement concernant le dépôt de traceurs, y compris l’impossibilité d’accéder au contenu externe.

En tout état de cause, l’internaute devra toujours avoir la possibilité de se rendre de lui-même dans les paramétrages du site pour consentir à certains usages (par exemple, la personnalisation du contenu éditorial).